(20220808-20220814)

一、境外廠商產品漏洞

1、Online Ordering System SQL注入漏洞(CNVD-2022-55724)

Online Ordering System是一個多商店訂購系統(tǒng)，可用于任何小型企業(yè)。Online Ordering System 1.0版本存在SQL注入漏洞，該漏洞源于store/orderpage.php頁面缺少對外部輸入SQL語句的驗證，攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數據庫敏感數據。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-55724

2、WordPress MailerLite plugin跨站腳本漏洞

WordPress和WordPress plugin都是WordPress基金會的產品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress plugin是一個應用插件。WordPress MailerLite plugin 1.5.4之前版本存在跨站腳本漏洞，該漏洞源于在將參數輸出回頁面之前不會對其進行清理和轉義。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-55699

3、WordPress Member Hero plugin代碼注入漏洞

WordPress和WordPress plugin都是WordPress基金會的產品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress plugin是一個應用插件。WordPress Member Hero plugin 1.0.9版本及之前版本存在代碼注入漏洞，該漏洞源于不驗證AJAX操作中的請求參數。攻擊者可利用該漏洞調用不帶參數的任意PHP函數。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-55700

4、Cisco Catalyst 2940系列跨站腳本漏洞

Cisco Catalyst是美國思科(Cisco)公司的一系列交換機。Cisco Catalyst 2940系列存在跨站腳本漏洞，該漏洞源于未能正確地處理用戶輸入并生成錯誤頁面，攻擊者可利用該漏洞在使用該產品用戶的網絡瀏覽器上執(zhí)行任意腳本。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-55665

5、Magnolia CMS跨站腳本漏洞

Magnolia CMS是瑞士Magnolia公司的一個應用程序，提供一個網站建設框架。Magnolia CMS 6.2.19版本存在跨站腳本漏洞，該漏洞源于程序缺少對用戶提供的數據和輸出的數據校驗過濾。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-56135

二、境內廠商產品漏洞

1、北京圣博潤高新技術股份有限公司LanSecS第二代防火墻存在未授權訪問漏洞

圣博潤是一家工控安全廠商，專注于網絡安全技術研究，產品研發(fā)和安全服務的高新技術企業(yè)。北京圣博潤高新技術股份有限公司LanSecS第二代防火墻存在未授權訪問漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-53650

2、Tenda M3 fromDhcpListClient函數堆棧溢出漏洞

Tenda M3是中國騰達(Tenda)公司的一款門禁控制器。Tenda M3 V1.0.0.12版本存在堆棧溢出漏洞，該漏洞源于fromDhcpListClient函數的 listN 參數對輸入數據不檢查其長度。攻擊者可利用該漏洞導致拒絕服務攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-56552

3、TOTOLINK T6 FUN_00412ef4函數堆棧溢出漏洞

TOTOLINK T6是中國吉翁電子(TOTOLINK)公司的一款無線雙頻路由器。TOTOLINK T6 V4.1.9cu.5179_B20201015版本存在堆棧溢出漏洞，該漏洞源于FUN_00412ef4函數中的 desc 參數對輸入數據不檢查其長度。遠程攻擊者可利用該漏洞導致拒絕服務。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-56563

4、Tenda M3 formSetCfm函數堆棧溢出漏洞

Tenda M3是中國騰達(Tenda)公司的一款門禁控制器。Tenda M3 V1.0.0.12版本存在堆棧溢出漏洞，該漏洞源于formSetCfm函數對輸入數據不檢查其長度。攻擊者可利用該漏洞導致拒絕服務攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-56551

5、Tenda M3 formSetAPCfg函數堆棧溢出漏洞

Tenda M3是中國騰達(Tenda)公司的一款門禁控制器。Tenda M3 V1.0.0.12版本存在堆棧溢出漏洞，該漏洞源于formSetAPCfg函數op參數對輸入數據不檢查其長度。攻擊者可利用該漏洞導致拒絕服務攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-56550

說明：關注度分析由CNVD秘書處根據互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。

來源：CNVD漏洞平臺